IRC-Galleria

Poliisi sensuroi www.w3.org:nSunnuntai 28.09.2008 02:20

En voi käsittää miten tämä on tapahtunut. WWW-standardeja kehittävän organisaation sivusto on päätynyt KRP:n ylläpitämälle sensuurilistalle. Lista tosin päivitettiin ennätysvauhtia, mutta tätä kirjoittaessa MPY:llä tulee vielä estotiedote joka väittää että sivu on lapsipornosivu.

Mutta sitten siihen oikeasti askarruttavaan kysymykseen, miten tämä tapahtui? Miten on mahdollista että poliisi vahingossakaan lisää tämmöisen osoitteen listalleen? Tähän on parasta olla aivan helkutin hyvä selitys. Onko joku huijannut poliisia ja ilmiantanut sellaisen osoitteen joka on saanut KRP:n virheellisesti uskomaan että w3.org:ssa olisi lapsipornoa? Tämä onnistuisi XSS-reiällä tai username-tempulla. Poliisin nimipalvelimien DNS-myrkytys olisi myös toimiva hyökkäysstrategia, tai pieni socialengineeraus ja osoiterivin uudelleenkirjoitushyökkäys. Tämä on tietty vain spekulointia kun KRP:ltä ei ole kuulunut vielä mitään.

Jokatapauksessa on täysin epätodellinen olo. Odotin kokoajan että kohta selviäisi jotta DNA:lla joku olisi lisännyt protestimielessä sinne väärän osoitteen, ja saisi kenkää tapauksen johdosta. Mutta ei! Ilmeisesti virheestä voidaan syyttää juurikin poliisia.

Täysin käsittämätöntä.

"Humanity is overrated"Torstai 25.09.2008 08:49

Luin uutisista että IRC-galleria poistaa kuvia joissa osoitellaan aseella. Olen huolestunut tälläisestä linjauksesta, ja koen että tälläiset kuvat voivat toimia ihan validina keinona asian käsittelyyn. Kirjoitinpa aiheesta lyhyen tekstinkin toisaalle:

http://hack.fi/~muzzy/humanity-overrated.html

Odotan kiinnostuneena poistetaanko tämän postauksen ohessa oleva kuva myöskin.

PS. galtsu skaalasi kuvaa alas ja suttasi, sitä, alkuperäinen löytyy ylläolevan linkin takaa.

Vaadin IRC-gallerian sensuurilistalleMaanantai 12.05.2008 11:36

IRC-galleria on ottanut askeleita muuttuakseen seuranhakupalveluksi. Esimerkiksi viimeisin ylläpidon tiedote "jos ei heilaa helluntaina" kertoo että juuri seuranhakua varten on lisätty ominaisuuksia, ihan kuin niitä ei olisi ollut jo tarpeeksi ennestään. Yllätyksekseni kuitenkin minua jo pidempään ärsyttänyt ominaisuus toimi yhä, eli hakuihin saa laittaa iäksi vaikka sen 12. Haluatteko etsiä sinkkuja 12-vuotiaita tyttöjä lähiseudultanne? IRC-galleria mahdollistaa tämän. Kun laittaa hakulomakkeen MSN-messenger kenttään vielä tähden, saa vain sellaiset lapset jotka ovat antaneet pikaviestimen osoitteen, jolloin lasta voidaan lähestyä netissä suoraan IRC-gallerian ulkopuolella. Ominaisuus on tarjolla vain VIP-käyttäjille, eli käytännössä palvelu tarjoaa lasten yhteystietoja maksua vastaan.

Esitän ylläolevan perusteella IRC-gallerian asettamista sensuurilistalle. Lain tarkoitushan on estää pääsy ulkomailla ylläpidettäville lapsipornosivustoille, ja näkisin hyvinkin realistiseksi uhaksi että pedofiilit ottavat IRC-galleriasta kuvia ja lähettävät niitä muualle nettiin. Olisikin tärkeää estää lasten kuvien pääsy ulkomaisille lapsipornosivustoille, ja IRC-gallerian sensurointi epäsuorasti saavuttaisi tämän tavoitteen. Lakia siis voitaisiin soveltaa siitäkin huolimatta että palvelimet ovat suomessa eivätkä sisällä lapsipornografiaa. Sovelletaanhan sitä lakia minunkin sivuihini vaikka palvelin on suomessa eikä sisällä lapsipornografiaa. Miksei poliisi siis sensuroisi sivustoa joka tarkoituksella levittää lasten yhteystietoja ja kuvia?
Onko OK että netistä löytyy poliitikoista lista, jossa tiedot perheestä (esim. onko pieniä lapsia), mahdollisesti henkilökohtainen puhelinnumero (jonka perusteella voisi arpoa kotiosoitetta) ja muuta vastaavaa?

Saako poliitikkojen tietoja julkaista kun tehdään kysely eduskuntavaalien alla ehdokkailta? Entäpä jos poliitikot itse antavat nämä tietonsa kysyttäessä? Muodostaako tämmöinen vaalihaastattelu henkilörekisterin ja pitääkö siitä olla rekisteriseloste olemassa?

Jänniä kysymyksiä, enkä tiedä miten asia on. Jokatapauksessa, tämä lähti siitä kun googletin ajankuluksi poliitikkojen puhelinnumeroita ja pamahti esiin parikin vanhaa vaalikyselyä jossa aika monen ehdokkaan tietoja. Lähtökohdaksi hakuun riitti yhden kansanedustajan puhelinnumero, sillähän sitä löytää sivut joissa puhelinnumeroita on mainittu.

Otin kopion yhdestä listasta ja julkaisin uudelleen pienen saatekirjeen kera:
http://hack.fi/~muzzy/poliitikkoja/
Pelastakaa Lapset on jo pidemmän aikaa kommentoinut Internetiin liittyviä asioita yleisenlaisella paapomisella ja moralisoinnilla joka osoittaa ymmärtämättömyyttä paitsi Internetiä niin myös itse ongelmia kohtaan. Ymmärtämättömyyden taustalla on ilmeisesti tarve politisoida lasten tunteita ja suorastaan romantisoida lasten kokemaa kärsimystä.

Jonkin aikaa sitten Pelastakaa Lapset julkaisi lehdistötiedotteen koskien lasten nettikiusaamista - http://www.pelastakaalapset.fi/index.php?id=976 - jossa esitetään toivomus että asiasta keskusteltaisiin koulussa ja kotona. Tämänlainen keskustelu on omiaan varmistamaan sen että nekin kiusaajat jotka eivät vielä tästä kyseisestä sivusta ja kiusaustavasta olleet tietoisia, pysyvät nyt ajan hermolla.

Kiusaamiseen ei auta että keskustellaan uusista kiusaamisen keinoista. Tiedotteesta jää vaikutelma että Pelastakaa Lapset kokee vaarallisemmaksi juuri tämän kiusaamisen muodon kuin itse kiusaamisen, syynä lienee sivulla oleva homopornoksi luokittuva "meatspin" nimelläkin tunnettu videopätkä. Tämänlainen moralisointi onkin omiaan viemään huomion todelliselta kiusaamis-ongelmalta, joka ei rajaudu mihinkään yksittäiseen kiusaamistapaan vaan on jatkuvaa kohdettaan alistavaa toimintaa.

Kiusaamisen suurin ongelma nähdäkseni on lapsen pelkoehdollistuminen kiusauksen seurauksena, joka jättää pysyviä jälkiä lapsen käyttäytymiseen. Opittu pelko saattaa kohdistua koulunkäynnin lisäksi kaikkeen sosiaaliseen kanssakäyntiin, jolloin lapsi varautuu aina negatiivisella tunnetilalla ollessaan muiden seurassa. Muita pelkäävä lapsi ajautuu sitten noidankehään, jossa muiden välttely estää positiivisten suhteiden kehittymisen samalla kun positiivisten kokemusten puute vahvistaa opittua sosiaalipelkoa. Sen lisäksi että kiusattu alkaa pelätä koulussakäyntiä, on kiusatulla vakava riski syrjäytyä myös myöhemmässä elämässään.

Sensijaan että luotaisiin moraalipaniikkia Internetin kiusaussivuista, pitäisi esittää konkreettisia toimia nuorten elämänlaadun parantamiseen. Paras lääke kiusaamiseen onkin rohkaiseva ja kannustava ympäristö joka motivoi lapsia ja nuoria tekemään heitä itseään kiinnostavia asioita. Siinä missä pelon motivoima lapsi reagoi herkemmin negatiivisiin ärsykkeisiin kuin positiivisiin, toimii sama toisinkinpäin. Itselähtöisen kiinnostuksen motivoima lapsi suhtautuu kaikkiin ympäristön ärsykkeisiin keskimääräistä positiivisemmin, eikä koe pysyvää kärsimystä aiemmin mainituista Internetin avulla toimivista kiusaustavoistakaan. Pahimmassa tapauksessa Internetin kauhisteleminen vain pahentaa kiusatun ongelmia, kun huomiota kiinnitetään kokoajan kiusaamiseen vaikka pitäisi keskittyä elämän mukaviin asioihin.

Nettiyhteisö toivookin, että lasten Internetin käyttöä tuettaisiin sensijaan että kaikkeen suhtauduttaisiin aina niin hirveän ahdistuneesti. Asiaan tulisi suhtautua vakavasti eikä lapsia ja vanhempia pelotellen.
Tämä on nyt ollut jotenkin trendikästä, että halutaan verkkopankin kirjautuminen joka hiton paikkaan. Kyllähän se toimii oikein hyvin, kyllähän se on vahva tapa varmistaa henkilöllisyys. Sivuston kannalta ratkaisu on hyvä, käyttäjän ja kokonaisuuden kannalta vaarallinen.

http://www.tietoviikko.fi/doc.te?f_id=1321232&s=r

Eikö kukaan ole ajatellut sitä millainen kosketuspinta tällä on phishing ja man-in-the-middle hyökkäyksiin? Jos kansa tottuu siihen että lähes minkä tahansa sivuston tunnistautumisen yhteydessä voidaan kysyä pankkitunnuksia, eikö jossainvaiheessa ylitetä raja jossa pahantahtoinen sivusto voikin ottaa tunnukset itse talteen eikä ohjaakaan käyttäjää pankin sivuille tunnistautumaan?

Näen jo mielessäni scenaarion, jossa Pertti Peruskäyttäjä surffaa netistä sivuille X ja haluaa kirjautua sisään. Pertti on kuitenkin kirjoittanut sivuston nimen väärin, ja huijari Y on pystyttänyt omat X:n näköiset sivut väärinkirjoitettuun osoitteeseen. Pertti kirjoittaa pankin tunnustietonsa tunnistautumissivulle, ja antaa avainkoodin. Tällävälin sivusto Y käyttää tietoja kirjautuakseen pankkiin ja tekee tilisiirron ja saa pankin vahvistussivun jossa pyydetään uutta avainta. Pertille sensijaan annetaan eteen virheilmoitus, jossa pyydetään yrittämään uudestaan toisella avainluvulla, ja arvaatte varmaan miten kuvio tästä etenee. Pertti Peruskäyttäjän tili tyhjätään, ja Pertille itselleen annetaan esimerkiksi ilmoitus että "Tietokantaan ei saada yhteyttä, yritä myöhemmin uudestaan" tai muuta geneeristä puppaa.

Typosquattausta tehdään jo pankkien sivuille, mutta entäs sitten kun pankkitunnuksia voi syöttää kymmenille muillekin sivustoille? Aijai. Mihin se HST-kortti ja sillä tunnistautuminen unohtui? Miksei Viestintäministeriö tue toimia jolla uusiin konepaketteihin kuuluisi mukana erillisellä numeronäppäimistöllä varustettu älykortin lukija HST-kortin mahdollisimman turvallista käyttöä varten? Mikä tahansa web-sivusto voi helposti hyödyntää HST-kortilla tunnistautumista, eikä tietoturvariski ole ihan samanlainen kuin pankkitunnusten kanssa...
Kirjoitin tänään aamummalla avoimen kirjeen sivustoni lukijoille, jossa perustelin muunmuassa sensuurilistan julkaisua. Kävi kuitenkin niin että kirjettä kirjoittaessani ja listaa selatessa sieltä
osui silmilleni jännä osoite.

Tunnistin osoitteen heti, ja ihmettelinkin miten olin voinut olla huomaamatta. Olin itse ilmiantanut kyseisen sivuston lähes vuosi sitten erinäisille tahoille. Klikkasin kokeilun vuoksi, ja odotin että
sivua ei löytyisi. Olihan siitä sentään lähes vuosi, ja osoite oli ollut kansainvälisillä poliisivoimilla tiedossa tuon koko ajan. Kuinkas ollakaan, minua tervehti selaimessa kaupallinen lapsipornosivusto joka yhä myi laitonta materiaaliaan. Miten tämä saattoi olla mahdollista?

Sivusto oli "hienosti" sensuroitu, ja tarkistin että se löytyi muunmuasssa Internet Watch Foundationin listaltakin. Tarkistin nopeasti myös domainin yhteystiedot, ja kyseessä oli yksityisyyssuojattu rekisteröinti jonka rekisteröintitaho ilmoittaa ehdoissaan varaavansa oikeuden sulkea domain mikäli sitä käytetään laittomuuksiin. Eikö sivun tällöin pitäisi mennä nopeastikin nurin, mahdollisesti jopa yhdellä puhelinsoitolla poliisilta? Miksi ihmeessä sivusto oli sitten yhä toiminnassa?

Keksin vain kaksi vaihtoehtoa: Joko anonyymiä rekisteröintipalvelua tarjoava domain-nimien myyjä ei ole suostunut selvää laitonta lapsipornosivun domain-nimeä sulkemaan, tai sitten heille ei koskaan asiasta ilmoitettu. Kummassakin tapauksessa jotain on mennyt pahasti vikaan, sillä poliisin olisi täytynyt olla yhteydessä nimirekisteröijään selvittäessään domainin oikean omistajan tietoja. Mikäli tiedot ovat väärät, jo se on ymmärtääkseni riittävä peruste domainin sulkemiselle, joten joko poliisi ei ole tehnyt mitään tutkintaa tai sitten tämä suuri ja (toistaiseksi) hyvämaineinen domain-nimien rekisteröintitaho on hangoitellut vastaan lähes vuoden ajan.

Pelkään kuitenkin keksineeni selityksen tapahtuneelle, ja sen nimi on sensuuri.

Mikäli domain-nimi on lisätty vain sensuurilistaan, on saatettu ajatella että homma on sillä hoidettu. Mahdollisesti silloinen sivustoa ylläpitävä palvelin on suljettu myös, mutta domain-nimeä ei ole tajuttu lakkauttaa.

Tämänlainen ei ole millään tapaa hyväksyttävää, ja saattaakin olla että sensuuriin tuuduttautuneena on annettu sensuroidun sivuston jatkaa laitonta toimintaansa. Jossain on menty pahasti metsään, tälläistä ei saisi tapahtua. Ei missään tapauksessa riitä että laiton sivusto vain "sensuroidaan", se pitää saada kokonaan suljettua!

Joku pommittaa hack.fi:tä?Lauantai 16.02.2008 16:40

Heräsin tässä, ja ajattelin mennä lukemaan sähköpostit ja vilkaisemaan irkkiä. Vaan kuinkas siinä kävikään, kohdepalvelin katkaisee yhteyden.

Sama palvelin jolla lapsiporno.info pyörii, on ikäväkseni vastuussa myös kommunikaatiostani ulkomaailman suuntaan. Ja juuri nyt sinne ei pääse, vaikka palvelin onkin pystyssä...

Onkohan joku keksinyt ddosata sivustoa vai mistä on kyse. Vai olenko minä mahdollisesti koodannut suodatuslista-sivun niin huonosti että sen räjähdysmäinen kysyntä on pistänyt palvelimen polvilleen? Saattaa olla yhdistelmä molempia, tuo sivu kun tekee yhden SQL-pyynnön per sivunlataus niin sitä pommittamalla saisi hyvin kuormaa aikaan palvelimelle.

No, jokatapauksessa, en pysty nyt lukemaan sähköpostejani toistaiseksi enkä pääse irkkiin shellistäni.
Taidan käyttää tilanteen hyödykseni pitämällä hieman taukoa ja lepäämällä pari tuntia odotellessa josko tilanne palvelimen osalta muuttuu, viime päivät kun ovat olleet aika stressaavia.

Sivuni on sensuroitu poliisin toimesta!Tiistai 12.02.2008 20:23

Poliisin mielestä kritiikkini Internet-sensuurista ilmeisesti täyttää lapsipornosivun määritelmän, jotenka sivustoni lapsiporno.info on päätynyt suodatuslistalle.

Sivustolle pääsee yhä mm. osoitteella:
http://muzzy.fi/~muzzy/lapsiporno/

Suomen Internet-sensuuria ei siis käytetä pelkästään ulkomaisten sivujen sensurointiin, eikä pelkästään lapsipornoa sisältävien sivujen sensurointiin. Odotan innolla pääsenkö myös muiden maiden sensuurilistoille :)
Nettivihje vuotaa tietoja ulkopuolisille vahingossa, ei osaa peittää identiteettiään edes epäillyiltä lapsipornosivuilta, ja käyttää kaiken kukkuraksi ikivanhaa selainta jossa vakavia tietoturva-aukkoja!

Kirjoitin aiheesta englanniksi pienen dokumentin:
http://lapsiporno.info/techproblems-with-hotlines.html

Vaikken arvostakaan heidän tekemää työtään, saavat nyt tässä ilmaisen tietoturva-auditoinnin minulta. Ammattilainen laskuttaisi monta sataa euroa tästäkin, mutta Pelastakaa Lapset ry kokee kai saavansa parempaa vastinetta rahoilleen haastelemalla minua oikeuteen jne. :)